Sicherheitsforscher haben bei GitHub.com und GitHub Enterprise Server kritische Sicherheitslücken gefunden, die es einem authentifizierten Benutzer ermöglichten, zu erreichen Remote-Code Ausführung (CERs) mit einem einzigen Git-Push. Registriert als CVE-2026-3854 mit einem CVSS-Score von 8.7, war der Fehler ein klarer Fall der Befehlsinjektion durch die Mangel an Sanitation der Push-Option vom Benutzer bereitgestellt, bevor sie in einem internen Header (X-Stat) von internen GitHub-Diensten verwendet werden.
Das technische Problem war, dass das interne Format der Metadaten eine Punkt und Koma als Abgrenzer, und die vom Benutzer bereitgestellten Werte könnten dieses Zeichen enthalten. Mit speziell gebauten Feldern könnte ein Angreifer mit Push-Berechtigung zusätzliche Metadaten injizieren, die, wenn gekettet, überdreht Sandboxing-Schutz und umgeleitet die Ausführung von Haken auf Strecken, die vom Angreifer gesteuert werden. Wiz-Forscher demonstrierten eine operative Kette, die root _ env, custom _ hooks _ dir and repo _ pre _ empfangen _ haken, um die Ausführung von Befehlen wie git user und Zugriff auf freigegebenen Speicher zu erhalten.
Wiz berichtete am 4. März 2026 das Urteil an GitHub; GitHub reagierte schnell und legte eine Korrektur an GitHub.com innerhalb von Stunden. Die korrigierten Versionen von GitHub Enterprise Server sind 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 oder später. GitHub weist darauf hin, dass es keine Beweise für eine bekannte böswillige Ausbeutung gibt, aber die Leichtigkeit der Ausbeutung und das Potenzial für den grenzüberschreitenden Zugang zwischen Mietern in der gemeinsamen Infrastruktur macht die Suche nach einem ernsten Risiko für die geschäftlichen und multitensilen Umgebungen.
Die praktischen Implikationen gehen über die klassische Hintertür hinaus: mit unbeschränkten CERs wie Git-User in gemeinsamen Speicherknoten kann ein Angreifer lesen und schreiben Sie Repositories von mehreren Organisationen, enthüllen Geheimnisse und Kompromiss Integrität und Verfügbarkeit von Software-Versorgungsketten. Darüber hinaus unterstreicht der Vorfall ein wiederkehrendes architektonisches Risiko: Wenn mehrere Dienste in verschiedenen Sprachen interne Protokolle mit unterschiedlichen Annahmen über das Datenformat teilen, werden diese Annahmen zu einer Angriffsfläche.
Wenn Sie GitHub Enterprise Server verwalten, ist die sofortige und nicht verhandelbare Aktion, auf eine der oben genannten korrigierten Versionen zu aktualisieren. Für GitHub.com-Nutzer, GitHub angewandt die Minderung auf der öffentlichen Plattform, aber es passt immer noch Hörzugriff und jüngste Tätigkeit, drehen Sie Token und Schlüssel mit hohen Privilegien, und überprüfen Sie Protokolle für atypische Pitchs oder verwenden Sie ungewöhnliche Push-Optionen. In allen Fällen reduzieren Sie die Anzahl der Konten mit direkter Push-Berechtigung für geschützte Zweige auf ein Minimum und erfordern automatisierte Revisionen von CI für die Bereitstellung.
Über den Patch hinaus werden Antwort- und Detektionsmaßnahmen empfohlen: Überprüfen Sie die Integrität von kritischen Repositories, überprüfen Sie Haken und Einstellungen auf Servern, suchen Sie nach Änderungen in Konfigurationsdateien oder Hakenverzeichnissen, überprüfen Sie Audit-Ströme und Alarme, und, wenn es Verpflichtungssignale, aktivieren Sie den einfallenden Antwortplan, isolieren Sie betroffene Instanzen und Wiederherstellung von sicheren bekannten Kopien. Es ist auch praktikabel, Service-Anmeldeinformationen (Token, SSH-Tasten, Bereitstellungsschlüssel) mit empfindlichen Repositories zu drehen.
Im Hinblick auf die langfristige Prävention sollten Organisationen und Lieferanten das Prinzip der vertieften Verteidigung stärken: Validierung und umfassende Sanitation jeder Benutzereingabe, vermeiden Sie interne Formate, die von mehrdeutigen Begrenzungen, Multi-Tenant-Speichersegmentierung und Fuzzing- und Cross-Review-Tests an Punkten, an denen mehrere Dienste das gleiche Protokoll interpretieren. Geräte, die verteilte Architekturen aufbauen, sollten prüfen, wie nutzergesteuerte Daten durch interne Protokolle fließen und welche Formatannahmen jeder Service tut.
Schließlich sollten diejenigen, die Repositories verwalten, durch das Lesen von offiziellen Mitteilungen und technischen Unterlagen informiert werden: Die Sicherheitshinweise von GitHub sind ein guter Ausgangspunkt für die Überprüfung der betroffenen Details und Versionen ( https: / / github.com / Beratung), und git-Dokumentation auf Push-Optionen hilft zu verstehen, wie diese Optionen in einem Push ( https: / / git-scm.com / docs / git-push # _ push _ Optionen) Für technische Analysen und Entdecker-Empfehlungen bietet die Forschungsseite des Unternehmens, die den Ausfall gemeldet hat, auch operativen Kontext auf der operativen Kette und empfohlener Minderung ( https: / / www.wiz.io / blog)
Kurz gesagt, CVE-2026-3854 ist eine Erinnerung daran, dass selbst tägliche Operationen wie ein Git Push zu Verpflichtungsvektoren werden können, wenn die Eingänge nicht an allen Punkten der Infrastruktur validiert werden. Jetzt überprüfen Sie Ihre Telemetrie und straffen Sie Ihre Berechtigungen: Belichtung ist real und Vorbeugung hängt sowohl von rechtzeitigen Korrekturen als auch von nachhaltigen architektonischen Veränderungen ab.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...